本发明专利技术公开了一种面向SDN网络的控制层与数据层通信通道的自配置方法,通过自配置管理步骤,在SDN网络中,基于授权U盘,完成处于控制层的控制器与处于数据层的设备之间的相互认证后,建立控制器与设备之间的安全通信通道。
【技术实现步骤摘要】
本专利技术属于计算机网络管理
,是一种针对SDN(Software DefinedNetwork,简称SDN)网络的控制层与数据层的通信通道的自动配置的方法。
技术介绍
随着云计算、大数据等新兴业务的迅猛发展,网络的变革已经刻不容缓,在这样的趋势下,SDN技术的发展空间将会越来越广泛。因为越来越多的企业和运营商选择将SDN加入它们的网络中,基于SDN构建的大规模网络的需求将不断增加。然而,建设SDN网络前期(在SDN功能完成之前)所投入的成本、人力将明显阻碍SDN的推广。刨去进行设备升级(由传统网络设备到支持SDN的设备)所花费的必须成本,进行SDN功能配置,特别是SDN控制层和数据层的通信通道的配置所花费的人工成本也会随着网络规模的增大而成倍增加。更糟糕的是,手动配置产生的错误严重影响了网络的性能。为了解决手动配置控制层和数据层的通信通道的低效率、高成本、低可靠性等问题,本专利技术针对单一控制器的SDN网络,提出基于授权U盘的控制层与数据层的通信通道自配置技术。通过授权U盘给设备授予加入网络的权限,保证未被授权的设备不会加入网络,设备与控制器的相互认证和通信通道的建立均是通过授权U盘作为中间代理完成,即保证了信息的安全性,又省时省力一一因为无需逐个配置每台设备,从而提高了整个SDN网络建设的效率,同时降低了建设网络的成本。软件定义网络(Software Defined Network,简称SDN)是由美国斯坦福大学Clean Slate研宄组提出的一种新型网络创新架构,其基本架构如图1所示,包括三层:最上层是应用层(Applicat1n Layer),由使用SDN通信服务的终端用户的应用组成;中间是控制层(Control Layer),包含一个或多个控制器提供综合的网络监控功能,并为应用层提供操作网络的接口 ;最底层是设施层(Infrastructure Layer,也称为数据层),通过通信通道(一般称其为安全通道Secure Channel,目前主要是OpenFlow协议实现)与控制层进行交互,完成基本的报文交换和转发功能。SDN的核心技术包括:分离网络设备控制层与数据层,实现控制平面集中化,支持可编程网络,这三项技术相辅相成,最终实现对网络的灵活控制,并为核心网络及应用的创新提供了良好的平台。特别是,随着以云计算、大数据为代表的新兴业务的火热发展,现有网络架构已经无法满足云计算、大数据等带来的新需求,在这个趋势下,网络变革已经成为必然,而SDN恰是其中最具代表性和最为被认可的创新型网络架构。因而,越来越多的厂商(包括Cisco、华为、VMware等)投入到SDN的阵营中,也有越来越多的运营商(如电信、联通等)尝试将SDN应用到他们的网络中。控制层与数据层的通信通道(即安全通道Secure Channel)是实现SDN的集中控制、可编程特性的关键,是将控制与数据分离的基础。虽然SDN使得网络管理变得更加灵活、敏捷、自动化,然而,这些优势均是在控制层与数据层的通信通道正确建立之后才能实现。而要建立控制层与数据层的通信通道,通常需要手动的到数据层的设备上逐个进行配置,随着设备规模的增大,工作量将成倍增加,耗时耗力;此外,由于手工工作准确率无法保证,容易造成网络故障,降低网络的性能。这些问题严重影响了大规模网络应用SDN技术的效率。自配置技术是解决手动配置问题的最佳选择,然而,传统的IP自配置技术关注的是设备IP地址的配置问题,并不适用于SDN的安全通道的自配置,因为在安全通道的配置过程包含的内容远远多于配置设备IP地址,其需要首先完成控制器和其管理的设备之间的安全认证工作,以防止非法设备进入网络,因为非法的设备可以通过DDoS攻击和利用OpenFlow协议的漏洞攻击控制器和其他设备,从而破坏整个网络的安全性;只有在认证通过后,才能进行安全通道的配置工作。授权U盘可以用于在控制器和要加入网络的设备的中介,在它们之间建立信任关系,无需到逐个配置各个设备,省时省力,可以显著提高建设SDN网络的效率。在专利技术名称为“Automaticsoftware defined network configuringmethod, involves obtaining starting time of main controller and destinat1n IPaddress of distribut1n controller by switch controller, and indicating messageby switch”(公开号CN103618621-A)的现有技术中,公开了一种交换机通过switchcontroller获取被分配的控制器的目的IP,从而进行通信通道的配置,但没有考虑对交换机合法性的认证,也没有进行控制器与交换机之间的相互认证来保证通信通道的安全性。在专利技术名称为“SDNcloud computing and virtualizing method, involvesreceiving agency Flow Visor informat1n by controller, connecting open flowswitcher with controller, and controlling open flow protocol transmittingprocess by controller”(公开号CN103905523-A)的现有技术中,公开了一种SDN云计算和虚拟化环境下的FlowVisor信息接收问题、控制器和交换机的连接问题以及OpenFlow协议传播问题,但并没有解决在SDN网络建设过程中控制层与数据层的相互认证、通道建立的问题。在专利技术名称为“Networkconfigurat1n method, involves sending nodeto master controller,so that master controller configures control rulecorresponding to node type for node according to node type, and sending controlrule to node”(公开号W02014179923-A1)的现有技术中,公开了一种依据控制器的负载状态为交换机分配控制器,并在数据平面配置相应地控制平面,从而达到配置效率优化,并满足网络性能的需求。然而,该专利技术没有对交换机的合法性进行认证,在网络建设初期和网络重建过程中并不适用。在开源项目OpenDaylight 的 SNBI(Secure Network BootstrappingInfrastructure,安全网络引导基础设施)项目的现有技术中,公开了一种面向SDN网络的SNBI设备与控制器自动发现、自动分配IP地址和自动建立安全IP连接的方法,但该方法的认证措施仅适用于已知网络设备信息且设备信息固定的情况,此外,由于SNBI并没有提供一种设备信息采集的解决方案,所以不能完全适用于大规模SDN网络建设,特别是网络重建过程中,设备信息未知(需通过采集方案收集)且动态变化的情况。在文献名称为:“SilvaDe本文档来自技高网...
【技术保护点】
一种面向SDN网络的控制层与数据层通信通道自配置方法,用于SDN网络中在处于控制层的控制器与处于数据层的设备之间建立通信通道,其特征在于,所述方法,包括:自配置管理步骤:基于授权U盘,完成所述控制器与所述设备的相互认证后,建立所述控制器与所述设备之间的安全通信通道。
【技术特征摘要】
【专利技术属性】
技术研发人员:于金萍,毕经平,胡成臣,
申请(专利权)人:中国科学院计算技术研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。